Les plateformes numériques sont-elles parties pour un grand chelem de sanctions ?

Les géants du Net sont pris entre deux feux principaux : le droit de la concurrence, d’une part, et la protection des données, d’autre part. Mais ces deux référentiels juridiques s’entremêlent de plus en plus et se démultiplient, au risque d’aboutir à des doubles sanctions. Ce que l’Europe assume.

Par Olivier de Courcel, avocat associé, cabinet Féral-Schuhl/Sainte-Marie

Alors que les textes de référence s’accumulent, de même que les procédures de contrôle et les sanctions (aux amendes toujours plus élevées), la mise en conformité (compliance) devient comme un grand chelem pour les plateformes numériques. Les procédures se multiplient: aux Etats-Unis, 5 milliards de dollars imposés à Facebook par la FTC américaine en juillet 2019, contrôle en cours par le DoJ sur les GAFA, enquête préliminaire conjointe de 48 Etats fédérés ; en Europe, amende de 2 millions d’euros en Allemagne pour le manque de transparence de Facebook sur les contenus illicites (1), enquête préliminaire lancée par la Commission européenne sur la collecte et l’utilisation des données des utilisateurs de Google (2), contrôle en cours par la « Cnil » irlandaise sur les ventes aux enchères d’espaces publicitaires de Google, pré-rapport de l’autorité de la concurrence britannique (CMA) sur les plateformes (3), etc…

Un empilement de textes et de sanctions
Or les référentiels juridiques ainsi opposés aux plateformes numériques sont d’autant plus complexes à articuler qu’ils tendent à s’ajouter en silos les uns à la suite des autres sans mise en cohérence. Les plateformes numériques sont d’abord des habituées du droit de la concurrence. La première décision rendue en France contre Google, en 2010 par l’Autorité de la concurrence, sanctionnait déjà le fonctionnement discriminatoire de l’affichage publicitaire sur le moteur de recherche et l’opacité des conditions de fourniture et interruption de son service Adwords (4). Le même abus de position dominante était soumis au gendarme de la concurrence à deux occasions en 2019 (5), ce qui l’amena en décembre dernier à assortir son injonction d’une sanction pécuniaire de 150 millions d’euros (6). Google a également fait l’objet de sanctions par la Commission européenne, à trois reprises entre 2017 et 2019 et pour un total qui dépasse 8 milliards d’euros (7). Par ailleurs, au titre du contrôle des concentrations, cette dernière a approuvé les principales opérations de fusion-acquisition des plateformes, notamment celle en 2014 de WhatsApp par Facebook (8). Ensuite, l’entrée en vigueur fracassante du règlement général sur la protection des données (RGPD), le 25 mai 2018, avec possibilité de sanctions jusqu’à 4% du chiffre d’affaires, a amené les entreprises, y compris les plateformes numériques, à prendre plus au sérieux le référentiel juridique applicable aux traitements de données à caractère personnel. A ce jour, néanmoins, les sanctions prononcées ne dépassent pas 215 millions d’euros pour un dossier (9). Les plateformes numériques connaissent bien l’orientation des régulateurs européens en matière de données et vie privée puisque, ne serait-ce qu’en France, Facebook a subi en 2017 deux décisions de sanction : l’une pour sa combinaison massive de données à des fins de ciblage publicitaire des internautes, y compris à leur insu et sur des sites tier (150.000 euros) (10); l’autre pour le traitement illégal par Facebook de données reçues de WhatsApp, (150.000 euros) (11).
Enfin, dans le cadre de sa stratégie pour un marché unique numérique, la Commission européenne a défini des règles applicables à l’ensemble des plateformes en ligne et places de marché actives dans l’Union européenne (près de 7.000), inspirées du droit de la concurrence et du droit de la consommation. Avec le règlement de juin 2019 sur les services d’intermédiation en ligne (12), elle interdit à toute plateforme numérique (et pas seulement celles en position dominante) de fermer sans motif le compte d’un vendeur. Dans le même cadre, les directives européennes concernant les consommateurs ont fait l’objet d’une révision d’ensemble via une directive du 27 novembre 2019 (13). Tout en renforçant la transparence pour les transactions BtoC sur les places de marché en ligne et en établissant une protection pour les consommateurs vis-à-vis des services numériques dits « gratuits » mais fournis contre leurs données personnelles, la nouvelle directive reprend le principe de sanctions pécuniaires qui, dans les lois nationales, devront s’élever « au moins » à 4% du chiffre d’affaires réalisé. En matière de « compliance », le RGPD fait des émules…

Application cumulative ou alternative
Le droit européen de la consommation apporte ainsi un troisième référentiel juridique pour le contrôle et la sanction des plateformes numériques (lesquels relèvent cependant à titre principal des autorités nationales). Encore ce panorama doit-il être complété par des réglementations plus spécifiques telles que la fiscalité (taxe GAFA), le droit d’auteur et les droits voisins de la presse (Google Actualités), la réglementation des télécoms (neutralité du Net) et d’autres…. Les référentiels de conformité opposables aux plateformes numériques s’articulent en fonction de leur objet et de leur échelon de contrôle (autorités nationales ou Commission européenne), ce qui peut entraîner une application cumulative ou alternative selon les cas.

RGPD et abus de position dominante
L’information donnée aux internautes est à l’intersection du droit de la concurrence et de la réglementation des données. Lorsque la filiale WhatsApp informe en 2016 ses utilisateurs qu’elle croisera leurs numéros de téléphone avec leurs identifiants Facebook, la Commission européenne constate que le rapprochement des deux bases de données était déjà possible techniquement lors de l’acquisition par Facebook en 2014, contrairement aux informations alors fournies. Facebook s’en sort en mai 2017 avec une amende de 110 millions d’euros. Mais cette transmission des données de WhatsApp et le manque d’information aux personnes sont aussi sanctionnés par la Cnil en décembre 2019 (150.000 euros). Le droit des abus de position dominante peut aussi prendre en compte une infraction à une loi spécifique, à partir du moment où l’infraction traduit un abus de cette position qui a pour objet ou pour effet de restreindre la concurrence sur le marché considéré (14). C’est ainsi qu’en Allemagne, l’autorité de la concurrence s’est essayée en février 2019 à démontrer les manquements de Facebook au RGPD pour considérer qu’ils traduisaient en tant que telle la position dominante du réseau social et son exploitation abusive (15). En appel, cette confusion des genres n’a pas été écartée dans le principe, mais la cour régionale de Düsseldorf a considéré que le non-respect du RGPD ne démontrait pas à lui seul l’existence d’un abus de position dominante ayant un effet anti-concurrentiel (16).
En sens inverse, pour le calcul de ses sanctions, le RGPD prend en compte certains aspects qui peuvent traduire une position dominante, tels que le nombre de personnes concernées par la violation ou bien les avantages financiers obtenus (17). Dans ses décisions concernant Facebook, la Cnil ne manque pas d’évoquer les 33 millions de personnes concernées et le caractère massif de la collecte de données qui en résulte (18). Dans sa décision de janvier 2019 concernant Google (50 millions d’euros), la Cnil considère même que la position dominante du système d’exploitation Android sur le marché français, associée au modèle économique du moteur de recherche bâti sur la publicité personnalisée, renforce les obligations de Google au titre du RGPD (19). A l’échelon de l’Union européenne, le commissaire à la Concurrence envisage de combiner la réglementation des données personnelles et les règles antitrust en analysant les données comme des actifs, dont la valeur croît d’autant plus qu’elles ne sont pas facilement accessibles ou reproductibles et qu’elles peuvent constituer une barrière à l’entrée pour d’autres entreprises. En sens inverse, il anticipe que la qualité de la protection de la vie privée offerte par un service puisse stimuler la concurrence (20). De telles situations créent le risque d’une double sanction pour un même comportement, au titre du droit de la concurrence et du RGPD ou d’une autre réglementation, comme dans le cas Facebook-WhatsApp. En effet, si le principe « non bis in idem » interdit d’appliquer plusieurs sanctions à une même infraction, des exceptions sont possibles lorsqu’il existe un motif d’intérêt général, lorsque que les sanctions ont des objectifs complémentaires et lorsqu’elles respectent le principe de nécessité et proportionnalité des peines (21).
A l’opposé des situations de recoupement, il peut y avoir des « vides réglementaires », lorsqu’un acteur ne se trouve pas en position dominante ou que son comportement n’a pas d’effet anti-concurrentiel sur le marché et que, pour autant, la réglementation n’est pas assez précise pour incriminer son comportement. C’est en ce sens que le règlement de juin 2019 sur les services d’intermédiation en ligne établit des règles inspirées du droit de la consommation pour les entreprises qui normalement n’en bénéficient pas. Or le partage des compétences entre autorités de contrôle est un facteur majeur de la fragmentation des décisions.
Au lieu d’une répartition à partir de seuils de chiffre d’affaires assortie d’un principe de dessaisissement des autorités nationales au profit de la Commission européenne, comme en droit de la concurrence, le RGPD prévoit la compétence de l’autorité nationale de chaque pays concerné par le traitement de données en cause. Un traitement transfrontalier peut être suivi par une autorité nationale « chef de file » (22), mais celle-ci doit susciter un consensus avec ses pairs sur son projet de décision. En cas de désaccord entre autorités nationales, le comité européen à la protection des données (CEPD), qui les réunit toutes, est appelé à trancher (23). En pratique, le risque serait de voir la violation des règles de protection des données sanctionnée faiblement ou pas du tout par les autorités nationales (plus sensibles aux intérêts économiques de leur pays) et se trouver sanctionnée lourdement par la Commission européenne mais au titre du droit de la concurrence. La crédibilité du RGPD s’en trouverait réduite.

Une politique des plateformes s’impose en Europe
Dans ce contexte réglementaire fragmenté, des appels se font entendre pour réviser le droit de la concurrence, promouvoir l’open data et l’interopérabilité, réguler les plateformes numériques à l’instar des opérateurs télécoms dominants, ou encore scinder les GAFAM. Mais en attendant de telles réformes, on peut s’interroger sur le risque de l’absence de politique ou de projet industriel européens pour concurrencer les plateformes américaines et chinoises et pour traiter les données en Europe. @